Sempre più aziende si affidano a sistemi automatizzati per prendere decisioni che impattano direttamente utenti, clienti e collaboratori: dall’assunzione di un candidato all’attribuzione di un punteggio di affidabilità creditizia.
Ma quali sono gli obblighi informativi e i limiti legali imposti dal GDPR?
La recente sentenza della Corte di Giustizia dell’Unione Europea (C-203/22, febbraio 2025) rappresenta un punto di svolta. Le aziende non possono più limitarsi a dichiarare l’uso di un algoritmo: devono spiegare in modo chiaro e comprensibile quali dati personali vengono impiegati, quali logiche influenzano la decisione e quale impatto concreto ne deriva per l’interessato. Inoltre, il segreto industriale non costituisce più una giustificazione automatica per negare l’accesso a queste informazioni. In caso di conflitto tra trasparenza e tutela del know-how aziendale, spetta a un’autorità indipendente — come il Garante Privacy — valutare e decidere. Il diritto all’informazione prevale.
Secondo la Corte, l’accesso ai dati non deve essere solo formale: deve permettere all’utente di comprendere, contestare e reagire a decisioni automatizzate, anche in contesti critici come l’erogazione di credito, le offerte mirate o i contratti. Anche quando le logiche decisionali si basano su dati riferiti ad altri utenti o fonti esterne, è necessario garantirne la gestione conforme: tramite anonimizzazione o mediante trasmissione riservata all’autorità competente.
I cosiddetti “sistemi black box”, ovvero modelli algoritmici opachi che generano output senza consentire trasparenza sulle logiche interne, non sono più accettabili. È proprio questo tipo di opacità che il GDPR e la Corte UE intendono superare: introducendo obblighi precisi di spiegabilità, responsabilità e tracciabilità.
Chi utilizza strumenti di AI predittiva o generativa, modelli di scoring o processi di selezione automatizzata è tenuto a rispettare nuove regole e a prevenire rischi legali e reputazionali. Il tempo della trasparenza è ora. E le imprese devono essere pronte.
